Vijf privacy-organisaties slaan gezamenlijk alarm over de beleidskoers van het ministerie van Volksgezondheid (VWS). De systemen voor zorgcommunicatie die door VWS worden uitgerold, zijn onverantwoord kwetsbaar voor hackers en andere kwaadwillenden. ‘Zodra het misgaat, en het gaat een keer mis, dan raakt dat iedereen,’ zo luidt de waarschuwing.
Door de keuze voor grote centrale systemen zoals Mitz en de European Health Data Space (EHDS) verliezen patiënt en arts de controle over medische gegevens. Dan wordt de zorgcommunicatie kwetsbaar voor hackers. De recente ransomware-aanval op ChipSoft, waarbij medische gegevens werden gestolen, zou een wake-up call moeten zijn, vinden Platform Burgerrechten, Privacy First, Stichting KDVP, Stichting Decozo en de nieuwe stichting Spidz. Deze vijf privacy-organisaties zien grote gevaren. De systemen die het ministerie van VWS op dit moment uitrolt, bieden via één punt toegang tot tien- tot honderdduizenden dossiers, aldus het vijftal.
Een en ander gebeurt zonder dat de arts die de gegevens bewaart, kan controleren wie ze voor welke reden opvraagt. Dit maakt ze een dankbaar doelwit voor hackers, die slechts één ingang nodig hebben om bij de gegevens van talloze patiënten te kunnen komen. Desondanks gaat de uitrol van deze systemen door, stellen de vijf privacy-organisaties.
Mitz
Het gaat binnen Nederland om het systeem Mitz, waarop alle zorgverleners van Nederland moeten worden aangesloten. Het is in Mitz mogelijk om tien- tot honderdduizenden zorgverleners tegelijk ongericht toegang te geven tot medische dossiers, waarna de dossierhoudend arts geen controle meer heeft over wie de gegevens inziet. Ook is het mogelijk om toestemmingen die patiënten al dan niet hebben gegeven, te overrulen door derden, beweert het vijftal.
Daarnaast wordt vanuit Brussel de EHDS ingevoerd, een systeem dat vergelijkbaar werkt, maar dan zorggegevens in alle lidstaten van de Europese Unie toegankelijk maakt. Daar wordt iedere Nederlander automatisch in opgenomen. Wil je er buiten blijven, dan moet je zelf in actie komen en bezwaar registreren (opt-out). De EHDS biedt lidstaten geen ruimte om dit op basis van voorafgaande, geïnformeerde toestemming (opt-in) te doen, zoals het medisch beroepsgeheim vereist.
Sterker nog, de mogelijkheid tot opt-out is optioneel onder de EHDS – waardoor lidstaten er zelfs voor kunnen kiezen burgers niet eens de keuze te geven over het al dan niet delen van hun medische gegevens.
Beroepsgeheim
Omdat de toestemmingsrechten van patiënten onder de EHDS worden ondermijnd en zelfs volledig kunnen worden afgeschaft, is deze verordening volgens de organisaties in strijd met het medisch beroepsgeheim zoals dat beschermd wordt onder Artikel 8 van het EVRM en in strijd met de eisen die de AVG stelt aan het delen van medisch persoonsgegevens.
De organisaties roepen de Tweede Kamer op tot een koerswijziging: er moet nu worden gekozen voor systemen die de risico’s van hacks daadwerkelijk wegnemen of sterk minimaliseren, in plaats van ze verder te vergroten. Een kleinschaliger aanpak is veiliger, eenvoudiger en houdt het medisch beroepsgeheim zoals dat sinds vanouds werkt, intact.
Er bestaan al geruime tijd alternatieve systemen voor zorgcommunicatie. Deze maken het mogelijk om gegevens gericht en veilig uit te wisselen, zonder dat er centrale databases of toegangspunten nodig zijn die een groot doelwit vormen voor hackers. Desondanks geven het ministerie van Volksgezondheid en de besturen van zorgkoepels deze systemen geen kans.
